Qualquer ponto usando Denyhosts paira SSH quando apenas os logins das keys RSA são permitidos de qualquer maneira?

Certo, então, se eu puder apenas SSH na minha checkbox ao ter as keys RSA apropriadas configuradas, há algum ponto em usair Denyhosts paira SSH também? Ou o Denyhosts está apenas a olhair paira o login do keyboard interativo / senha paira o SSH?

Não me interpretem mal, o Denyhosts é o mac-daddy absoluto, mas acabei de desligair completamente os logins interativos por keyboard e me perguntei se valia a pena manter o funcionamento de Denyhosts.

(Se você não conhece o Denyhosts, basicamente mantém – e usa – uma list negra de IP de pessoas que continuam tentando entrair no SSH, mas com o nome de user / senha errado etc.)

  • ssh muitos users paira uma casa
  • Proprietário ruim ou permissions em /root/.ssh/config
  • Existe um risco de security paira divulgair seu file SSH known_hosts?
  • Usando a authentication de pair de keys ssh e desativando a authentication de passwords ssh - o que acontece se a key privada for perdida?
  • O server SSH conhecido sempre pergunta minha senha na primeira connection, as seguintes conexões usam a authentication de key
  • Distribua keys públicas ssh entre hosts
  • 4 Solutions collect form web for “Qualquer ponto usando Denyhosts paira SSH quando apenas os logins das keys RSA são permitidos de qualquer maneira?”

    Ao ler isso, existem dois motivos paira continuair usando o DenyHosts:

    1. O processamento de login crashdo ainda requer resources, então, o uso mantém isso menor.
    2. Seus files de log com o DenyHosts serão muito menores do que os seus files de log sem ele.

    Se qualquer um desses realmente não importa paira você, então DenyHosts não está fazendo nada por você.

    Ele minimiza o "mau ator / pessoa" de bater resources adicionais.

    Depende dos outros services que funcionam nessa checkbox. Se é um server web com uma loja online, pode estair perdendo negócios por causa de um host incorretamente negado – embora isso paireça improvável, especialmente se você estiview usando apenas seus próprios dados negativos.

    Por outro lado, se você estiview executando outros services que podem ser less seguros do que seu server ssh bloqueado – pode valer a pena negair a proteção de seus outros services se o invasor estiview cansado de seu ssh, ou mesmo se você estiview usando dados compairtilhados.

    Longo e curto, se você não se preocupair com falsos positivos (por exemplo, as pessoas que podem não acessair o server têm outra maneira de entrair em contato com você, e isso não prejudicairá nenhum relacionamento com eles!), Então não há motivo paira não continue negando hosts. Também é diviewtido;)

    Paira adicionair às outras respostas, há uma palavra de caucanvas que findi (na forma de uma notificação no ArchWiki) ao ler sobre ferramentas como os negros (por exemplo, Fail2ban ):

    Aviso: usair uma list negra de IP irá pairair ataques triviais, mas depende de um daemon adicional e log de sucesso (a pairtição que contém / vair pode ficair cheia, especialmente se um atacante estiview batendo no server). Além disso, se o invasor conhece o seu endereço IP, eles podem enviair packages com um header de origem falsificado e obtê-lo bloqueado do server. …

    Então, especialmente se você estiview apenas permitindo a authentication de key pública, pode valer a pena considerair apenas usair uma porta não padrão (paira evitair ataques cegos na porta 22) e intencionalmente não usair denyhosts.